第1章 二进制可执行文件简介

1.1 Windows PE文件

1.1.1 PE文件结构

1.1.2 PE文件头结构

1.1.3 PE导入表

1.1.4 PE资源表

1.1.5 PE地址变换

1.1.6 PE重定位机制

1.1.7 PE文件变形机制

1.2 Linux ELF文件

1.2.1 ELF结构

1.2.2 ELF头结构

1.2.3 ELF节区

1.2.4 ELF字符串表

1.2.5 ELF符号表

1.2.6 ELF重定位机制

1.2.7 ELF动态链接机制

1.3 Android DEX文件

1.3.1 Android系统结构

1.3.2 Android DEX结构

1.3.3 Android ODEX结构

1.3.4 Android权限机制

参考文献

第2章 恶意软件检测基础

2.1 恶意软件抽象理论

2.2 机器学习基础

2.2.1 机器学习简介

2.2.2 分类算法

2.2.3 集成学习

2.2.4 特征选择与特征提取

2.2.5 性能评价

2.2.6 WEKA简介

2.3 本章小结

参考文献

第3章 加壳技术研究

3.1 引言

3.2 加壳原理

3.2.1 ELF文件的加载过程

3.2.2 加壳的方式

3.2.3 用户空间下加载器的设计

3.3 反跟踪技术

3.3.1 反调试技术

3.3.2 代码混淆技术

3.3.3 抗反汇编技术

3.4 本章小结

参考文献

第4章 加壳检测研究

4.1 引言

4.2 加壳检测常用方法

4.2.1 研究现状

4.2.2 常用方法归纳

4.3 基于机器学习的加壳检测框架

4.4 PE文件加壳检测

4.4.1 PE文件特征提取

4.4.2 PE加壳检测实验及分析

4.5 ELF文件加壳检测

4.5.1 ELF文件特征提取

4.5.2 ELF加壳检测实验及分析

4.6 本章小结

参考文献

第5章 基于函数调用图签名的恶意软件检测方法

5.1 引言

5.2 相关工作

5.3 定义

5.4 图同构算法

5.4.1 基于矩阵变换的图同构算法

5.4.2 Ullmann图同构算法

5.4.3 VF2图同构算法

5.4.4 FCGiso图同构算法

5.5 检测方法框架

5.5.1 检测方法概览

5.5.2 检测方法详细描述

5.6 实验

5.6.1 已知恶意软件检测

5.6.2 加壳变种检测

5.6.3 恶意软件变种检测

5.6.4 恶意软件大样本归类

5.6.5 与图编辑距离方法的对比

5.7 实验结果与分析

5.8 本章小结

参考文献

第6章 基于挖掘格式信息的恶意软件检测方法

6.1 引言

6.2 相关工作

6.3 检测架构

6.4 实验

6.4.1 实验样本

6.4.2 特征提取

6.4.3 特征选择

6.4.4 分类学习

6.5 实验结果与分析

6.5.1 实验1结果

6.5.2 实验2结果

6.5.3 结果分析

6.5.4 特征分析

6.6 基于ELF格式结构信息的恶意软件检测方法

6.6.1 实验样本

6.6.2 提取特征

6.6.3 特征选择

6.6.4 实验结果

6.7 与现有静态方法对比

6.8 本章小结

参考文献

第7章 基于控制流结构体的恶意软件检测方法

7.1 引言

7.2 相关工作

7.3 操作码序列构造原理

7.3.1 操作码信息描述

7.3.2 操作码序列划分

7.4 特征选择

7.5 恶意软件检测模型

7.6 实验结果与分析

7.6.1 实验环境介绍

7.6.2 特征数量比较

7.6.3 恶意软件检测性能比较

7.7 本章小结

参考文献

第8章 基于控制流图特征的恶意软件检测方法

8.1 引言

8.2 相关工作

8.3 软件控制流图

8.3.1 基于单条指令的控制流图

8.3.2 基于指令序列的控制流图

8.3.3 基于函数的控制流图

8.3.4 基于系统调用的控制流图

8.4 基于函数调用图的软件特征

8.4.1 函数调用图构造

8.4.2 特征选择

8.4.3 特征分析

8.5 语义特征和语法特征的比较

8.6 实验结果与分析

8.6.1 函数调用图中软件特征评价

8.6.2 分类器交叉验证

8.6.3 独立验证

8.7 本章小结

参考文献

第9章 软件局部恶意代码识别研究

9.1 引言

9.2 相关工作

9.3 恶意代码感染技术

9.3.1 修改程序控制流

9.3.2 恶意注入代码存储位置

9.4 恶意代码段识别

9.4.1 控制流结构异常表现

9.4.2 控制流基本结构BasicBlock识别

9.4.3 BasicBlock之间的联系

9.4.4 控制流基本结构合并

9.4.5 恶意代码边界识别

9.5 实验结果与分析

9.5.1 添加代码型感染方式的检测

9.5.2 覆盖代码型感染方式的检测

9.6 本章小结

参考文献

第10章 基于多视集成学习的恶意软件检测方法

10.1 引言

10.2 相关工作

10.3 实验概览

10.4 实验与结果

10.4.1 实验样本

10.4.2 单视特征提取

10.4.3 集成方案一

10.4.4 集成方案二

10.4.5 泛化性能对比

10.5 实验结果对比分析

10.6 本章小结

参考文献

第11章 基于动态变长Native API序列的恶意软件检测方法

11.1 引言

11.2 相关工作

11.3 Win32 API调用机制

11.4 检测方法架构

11.5 实验

11.5.1 实验样本

11.5.2 分析平台搭建

11.5.3 特征提取和选择

11.5.4 分类

11.6 实验结果与分析

11.6.1 实验结果分析

11.6.2 特征分析

11.7 本章小结

参考文献

第12章 基于多特征的移动设备恶意代码检测方法

12.1 引言

12.2 相关工作

12.3 检测模型设计

12.3.1 检测模型整体框架

12.3.2 恶意代码特征提取

12.4 实验与分析

12.4.1 实验样本准备

12.4.2 实验主要算法

12.4.3 实验结果分析

12.4.4 实验结论

12.5 本章小结

参考文献

第13章 基于实际使用的权限组合与系统API的恶意软件检测方法

13.1 引言

13.2 相关工作

13.3 检测架构

13.3.1 权限组合特征提取

13.3.2 系统API特征提取

13.4 实验与分析

13.4.1 实验样本

13.4.2 实验环境

13.4.3 实验结果与分析

13.4.4 检测方法对比

13.5 本章小结

参考文献

第14章 基于敏感权限及其函数调用图的恶意软件检测方法

14.1 引言

14.2 相关工作

14.3 检测架构

14.3.1 提取敏感权限

14.3.2 构建函数调用图

14.3.3 图编辑距离算法

14.4 实验与分析

14.4.1 实验样本

14.4.2 实验环境

14.4.3 实验结果与分析

14.4.4 检测方法对比

14.5 本章小结

参考文献

第15章 基于频繁子图挖掘的异常入侵检测新方法

15.1 引言

15.2 相关工作

15.3 基本思想及检测模型

15.4 特征模式构造算法

15.4.1 相关概念与定义

15.4.2 数据预处理

15.4.3 子图特征值设定

15.4.4 子图扩展与剪枝

15.4.5 PatternsMining算法实现

15.5 实验数据描述

15.6 实验结果与分析

15.7 本章小结

参考文献